我正在进行一些故障查找,发现两个应该设置为 的服务automatic已被设置为disabled。
找出是谁干的最好的方法是什么?可能是我公司的某个人,也可能是客户端的某个人。确定用户帐户就足够了。
我查看了 Windows 事件查看器,但说实话,我不确定自己在寻找什么,还有很多工作要做。没有什么能让我眼前一亮,但我怀疑只是因为我不知道自己在寻找什么。
答案1
当服务的启动类型发生改变时,事件会被记录在系统事件日志,ID为7040和来源服务控制管理器。
执行操作的用户显示在事件中(在下面的屏幕截图中被混淆了)。
因此,您必须在事件日志中找到这些事件;希望您能直接获得用户名。
如果它是一个通用用户名,例如“管理员”,那么是时候停止使用通用帐户了,您必须将事件的日期/时间与您可以从其他日志中获取的其他信息相关联(例如:Microsoft-Windows-TerminalServices-LocalSessionManager / Operational可以为您提供远程桌面会话的源IP)
答案2
在事件查看器中,查看“Windows 日志”->“系统”事件日志,并筛选来源“服务控制管理器”和事件 ID 7040。找到事件“服务已从原始启动类型残疾人”服务你感兴趣的。当你找到它时,下面详细信息中列出的“用户”就是做出该更改的用户。
答案3
如果某个进程以 SYSTEM 身份运行,是否有办法知道哪个进程实际禁用了该服务?我如何知道禁用该服务的进程(使用 SYSTEM 凭据)?